第一：开启相关服务，监控SELINUX

相关服务：setroubleshoot,auditd,大多数都是以se开头的

如果没有此服务，先yum下，然后查看状态

这里关于auditd说明，centos7不可以用systemctl重启auditd服务，需要用service audite restart命令来重启（安装setroubleshoot后，需要重启此命令后才可以正常写入日志到/var/log/message里面，否则在错误日志里面是看不到详细信息的，如下图---

如果未重启auditd服务，访问页面后日志里面看不到信息

下面第三点会提供重启服务后的显示日志

第二：SELINUX问题复现

创建访问页面，然后复制到相关的目录下（以为安全上下文不通，导致访问拒绝，正常可以在相关目录下创建访问页面，但是为了问题复现在其他目录下创建文件如图，可以看到type是admin_home_t

访问测试结果如下：

第三：根据监控日志找到解决方案并测试

拒绝访问后，查看日志（auditd必须要重启，看下启动后的时间是否是最近的时间）

启动之前时间

启动后时间

再次查看日志信息，注意提示用红色框内的命令显示完整信息

输入提示命令，查看详细的SELINUX信息

SELINUX 日志的好处在于里面会提供错误问题和解决方案，如上图可以看到因为安全上下文类型不对导致，可以修改类型或者恢复默认类型，上图是恢复默认类型（前提是在配置文件里面必须配置以后才可以恢复默认类型）

那么类型的修改我们可以用chcon命令，共有两种格式

1）chcon -t  类型（httpd_sys_content_t） 文件(/var/www/html/index.html)

2）chcon ---reference=范例文件  文件 #此命令需要有参考文件，将目标文件按照参考文件的类型设置

最后让我们恢复默认类型，查看最新的安全上下文类型，然后再次访问测试

由上图可以看到，恢复后，网页正常访问，文件类型也改成了httpd_sys_content_t了。结束

SELINUX总结（参考书籍：鸟哥私房菜）：

1.在服务与rwx权限都没有问题，却无法成功使用网络时，先用setenforce 0设置宽容模式

2.再次访问该网络，如果能用，表示SELINUX出现的问题，继续往下处理。如果这样还不能用，那问题就不在SELINUX上面，找其他办吧解决吧。如果是第一种，请继续

3.查看/var/log/message内的信息，找到sealert -l 相关信息并且执行（如果auditd没有重启，可能没有这个消息，上面有介绍）

4.找到allow access的关键词，按照提供的方法进行SELINUX的错误客服

5.处理完毕重新setenforce 1 ，再次测试网络服务。

总之分析日志文件，就可以轻松管理SELINUX了。